ITблог
Алексея Черемных
Пример фишингового письма на ноутбуке
Пример фишингового письма на ноутбуке
Категория: Программы Теги: Социальная инженерия Опубликовано: 28 июня 2023

Как распознать фишинговое письмо?

В данной статье расскажу что такое фишинговые письма и ссылки. Объясню как отличить зловредные письма и ссылки от обычных. Статья позиционируется как руководство для сотрудников организации по распознованию таких видов атак.

Что такое фишинг?

Фишинг - это вид мошенничества, при котором злоумышленники пытаются получить доступ к конфиденциальной информации, такой как логины, пароли, номера кредитных карт и другие личные данные, путем подделки электронных писем, веб-сайтов или других форм электронной коммуникации. Цель фишинга - обмануть пользователей, заставив их раскрыть свои личные данные, которые злоумышленники могут использовать для кражи денег или личной информации. Фишинг может быть осуществлен через электронную почту, социальные сети, мессенджеры, SMS-сообщения и другие каналы связи.

Что такое Фишинговое письмо?

Фишинговое письмо - это сообщение, которое создается мошенниками и выглядит как официальное письмо от известной компании или организации. Цель такого письма - обмануть получателя и заставить его предоставить свои личные данные или совершить какие-то действия, которые могут привести к утечке конфиденциальной информации.

Все подозрительные письма необходимо пересылать в Отдел информационной безопасности вашей организации.

Что такое Фишинговое ссылка?

Фишинговая ссылка – это гиперссылка, которая создается мошенниками с целью замаскировать адрес вредоносного ресурса под адрес легитимного ресурса. Цель такой ссылки - обмануть пользователя и заставить его перейти на вредоносный сайт, где могут быть украдены личные данные или установлен вредоносный софт на компьютер пользователя.

Как понять, что письмо подозрительное?

Для того чтобы отличить подозрительное письмо от обычного достаточно ответить на вопросы в таблице ниже. Если в ответах больше двух минусов — письмо лучше переслать в Отдел информационной безопасности для проверки.

Вопрос Да Нет

Я ждал данное письмо?

 + -

Я знаю этого отправителя?

 + -

Я знал, что в нем будет ссылка? Я знаю адрес этой ссылки?

 + -

Текст ссылки в теле письма совпадает с адресом ссылки в нижнем левом углу при наведении на неё курсора?

 + -

Вложение письма имеет расширение: .zip / .js / .exe / .scr?

 - +
При открытии вложения .doc, .docx, .xls, .xlsx приложение просит включить поддержку макросов? - +

Письмо содержит срочный запрос на действие, например, требует немедленного входа в аккаунт или обновления личных данных?

 - +

Письмо содержит грамматические или орфографические ошибки, которые не характерны для официальных писем?

 - +

Письмо содержит угрозы или попытки запугивания, например, уведомления о блокировке аккаунта или штрафах?

 - +

Письмо запрашивает конфиденциальную информацию, которую обычно не запрашивают в официальных письмах, например, пароли или номера кредитных карт?

 - +

Письмо содержит неожиданные приложения или ссылки, которые не имеют отношения к теме письма или отправителю?

 - +

 

Характерные черты фишингового письма

1) Имя отправителя, адрес электронной или название сайта содержат опечатку.

Например: адрес электронной почты отправителя письма не support@sberbank.ru, а support@sberbunk.ru.

2) Адрес сайта не соответствует известному.

В фишинговых письмах часто акцент делается на ссылках, по которым должна перейти жертва, поэтому они создают сайты с похожим адресом и внешним видом на какой-либо известный ресурс. Такие сайты могут быть крайне опасны, поэтому переходить по таким ссылкам ни в коем случае нельзя!

В почтовой программе «МойОфис Почта» при наведении на ссылку её адрес отображается в нижнем левом углу, пример правильного адреса на sberbank.ru, https://www.sberbank.ru/ru/person. В качестве еще одного примера можно привести ГосУслуги - «gosuslugi.ru», а «gosyslugi.ru»

3) Письмо плохо написано.

Фишинговые письма часто содержат ошибки в грамматике и орфографии, а также другие признаки, которые указывают на то, что они не были отправлены соответствующим отделом крупной организации.

4) Устаревшее или измененное оформление.

Нестандартное оформление официального стиля (без логотипа или с измененным логотипом, другим размером, стилем или цветом шрифта).

5) Приложенные документы, ссылки в тексте письма и QR-коды.

При получении подозрительного письма с приложенными к нему любыми файлами (включая документы), с ссылками или QR-кодами в тексте письма необходимо переслать письмо в Отдел информационной безопасности для проверки его на наличие зловредного кода.

6) Просьбы срочно подтвердить ваш адрес или другие личные данные.

Просьба срочно выполнить какое-либо действие может означать, что злоумышленник пытается заставить вас не обратить внимания на огрехи и несоответствия.

7) Универсальные, неличные обращения.

Использование универсальных обращений может указывать на то, что отправитель не знает кому он отправляет письмо.

8) Использование автоподстановки для обращения.

Например, «Уважаемый, <ivanov@minenepgo.gov.ru>».

9) В поле «Кому» не указано ваше имя.

Если в поле «Кому» или в поле «Копия» не указано ваше имя, значит это массовая рассылка.

10) Несвойственные обращения или запросы.

В письме содержится нетипичная просьба от человека, который ранее с вами на эту тему не общался.

11) Отсутствуют контактные данные отправителя.

Отсутствие контактных данных отправителя может означать, что отправителю нужна не обратная связь, а переход на ссылке в теле письма или открытие прикрепленного файла.

12) Щедрое рекламное предложение.

Злоумышленники могут использовать внезапные щедрые рекламные предложения, чтобы привлечь внимание и доверие пользователей. Они могут обещать участие в акции или лотерее с возможностью выигрыша денежного приза, но для этого нужно ввести свои личные данные. Однако, на самом деле, это может быть ловушкой, чтобы получить доступ к вашим конфиденциальным данным и использовать их в мошеннических целях. Поэтому, если вы получили подобное письмо, лучше его не открывать вообще.

13) Письмо от организации, услугами которой не пользуетесь.

Если услугами данной организации вы лично или ваш отдел никогда не пользовались, то к такому письму следует относиться, как к подозрительному.

14) Искажение слов.

Искажение слов является одним из приемов, которым пользуются спамеры, чтобы обойти спам-фильтры.

Например: «Зdrаvствуйте, д0 k0нца рaб0чег0 дня 0т вас жду 0тчeт! Нап0минaю, его нe0бх0дим0 прикрепить к заявке п0 ссылке.».

15) Слегка измененные названия известных компаний или брендов.

Слегка измененные названия известных компаний или брендов могут также говорить о зловредной направленности данного письма.

16) Просьба ввести пароль или логин.

В некоторых фишинговых атаках используются методы социальной инженерии для получения учетных данных напрямую у пользователя.

17) Запрос на смену пароля.

Запрос на смену пароля, если он инициирован не вами, может говорить о попытке заманить на поддельный сайт с целью перехвата учетных данных.

18) Призыв скачать или запустить файл.

Злоумышленник может попытаться заставить вас запустить приложенный к письму файл или скачать и запустить файл по ссылке из письма.

19) Браузер или почтовый клиент сообщает о небезопасности ресурса.

Если браузер отображает предупреждение о небезопасности ресурса при попытке перейти по ссылке из письма или при открытии прикрепленного к письму файла.

20) Отправитель написал со своего электронного ящика вместо рабочего.

При поступлении письма от знакомого вам сотрудника с личной электронной почты вместо рабочей, необходимо связаться с ним лично и уточнить действительно ли он отправлял это письмо.

21) Несуществующий адрес электронной почты

Проверить существование адреса электронной почты можно при помощи соответствующих сервисов (например, тут

22) В исходниках письма указан другой источник.

Смотрим свойства письма (почтовые заголовки). Троеточие при открытии письма и там показать исходник. Там смотрим заголовок From:

Способы определения фишинговой ссылки

  1. При наведении указателя на ссылку отображается другой адрес.
  2. Содержит «@». Настоящий адрес в таком случае будет начинаться после «@». Например: http://www.yandex.ru@zlo.ru.
  3. Буквы в адресе сайта специально переставлены: TIKNOFF.COM вместо TINKOFF.COM
  4. Буквы могут быть заменены на похожие буквы / символы / цифры, например, www.krasned.ru или www.krasmeb.ru.
  5. Ссылка выглядит нестандартно (случайный набор символов), тем более при наведении указателя мыши.
  6. Состоит из цифр. Например: http://89.25.11.43.
  7. Содержит 2 или более адресов. Например: https://example-site.ru/rc.php?go=https://zlo.ru
  8. После www нет точки или есть «-». Допустим: wwwmail.ru или www-mail.ru
  9. После http или https нет «://». К примеру: httpsyandex.ru, httpyandex.ru
  10. Некликабельная ссылка - при нажатии левой кнопкой мыши ничего не происходит, но это рассчитано на то, что пользователь скопирует ссылку и откроет ее в браузере
  11. Отсутствует SSL сертификат (изображения «замочка» в адресной строке)
  12. Найдите пользовательские соглашения. Проверьте, есть ли на сайте пользовательское соглашение, условия оплаты и доставки, если они предусмотрены, а также политики обработки персональных данных. Тут важно проверить не только их наличие, но и сам текст. В пользовательском соглашении не должны быть указаны сторонние компании, которые не имеют отношения к сайту.
  13. Проверить ссылку при помощи инструмента безопасности от Google.
Алексей Черемных
817

Похожие материалы: